正安时代安全服务

专业安全服务,为您的业务保驾护航

安全加固服务

标准依据

依据国家网络安全相关标准以及行业最佳实践,如等保 2.0 标准中的安全技术和管理要求,对系统进行安全加固。

服务内容

网络设备加固

优化网络设备配置,关闭不必要服务与端口,设置安全访问控制策略,增强网络边界安全性。

主机操作系统加固

安装系统补丁、优化系统配置、设置安全策略、加强用户认证与授权管理,提升主机操作系统安全性。

应用系统加固

修复应用程序代码漏洞,优化应用架构,加强身份验证、授权与加密机制,提高应用系统安全性。

数据库系统加固

优化数据库配置,加强用户权限管理,设置数据加密,防止数据泄露与非法访问。

安全加固主要服务内容:

安全加固模块表

加固对象 操作系统 加固项目 说明
UNIX系统及类UNIX系统 Solaris,HP-UX,AIX,linux,FreeBSD,OpenBSD,SCO 补丁 从厂家网站或者可信任站点下载系统的补丁包,不同的操作系统版本以及运行不同的服务,都可能造成需要安装的补丁包不同,所以必须选择适合本机的补丁包安装。[视机器配置而定]
文件系统 UNIX文件系统的权限配置项目繁多,要求也很严格,不适当的配置可能造成用户非法取得操作系统超级用户的控制权,从而完全控制操作系统。[有30项左右配置]
配置文件 UNIX配置文件功能有点类似微软的注册表,UNIX对操作系统配置基本上都是通过各种配置文件来完成,不合理的配置文件可能造成用户非法取得操作系统超级用户的控制权,从而完全控制操作系统。例如:/etc/inittab文件是系统加载时首先自动执行的文件,/etc/hosts.equiv是限制主机信任关系的文件等。[有20项左右配置]
帐号管理 帐号口令是从网络访问UNIX系统的基本认证方式,很多系统被入侵都是因为帐号管理不善,设置超级用户密码强度,密码的缺省配置策略(例如:密码长度,更换时间,帐号所在组,帐号锁定等多方面)。有些系统可以配置使用更强的加密算法。[有10项左右配置]
网络及服务 UNIX有很多缺省打开的服务,这些服务都可能泄露本机信息,或存在未被发现的安全漏洞,关闭不必要的服务,能尽量降低被入侵的可能性。例如r系列服务和rpc的rstatd都出过不止一次远程安全漏洞。UNIX缺省的网络配置参数也不尽合理,例如TCP序列号随机强度,对D.o.S攻击的抵抗能力等,合理配置网络参数,能优化操作系统性能,提高安全性。[视机器配置而定>30项]
NFS系统 网络文件系统协议最早是SUN公司开发出来的,以实现文件系统共享。NFS使用RPC服务,其验证方式存在缺陷,NFS服务的缺省配置也很不安全,如果必须使用NFS系统,一定进行安全的配置。[视操作系统而定]
应用软件 我们建议操作系统安装最小软件包,例如不安装开发包,不安装不必要的库,不安装编绎器等,但很多情况下必须安装一些软件包。APACHE或NETSCAPE ENTERPRISE SERVER是一般UNIX首选的WEB服务器,其配置本身就是一项独立的服务邮件和域名服务等都需要进行合理的配置。
审计,日志 做好系统的审计和日志工作,对于事后取证追查,帮助发现问题,都能提供很多必要信息。例如,打开帐号审计功能,记录所有用户执行过的命令。例如实现日志集中管理,避免被入侵主机日志被删除等。[视机器配置而定]
其它 不同的UNIX系统有一些特别的安全配置,例如solaris有ASET,HP的高级别安全,FreeBSD的jail等。[视机器配置而定]
最后工作:建议用户做系统完全备份,并对关键部份做数字签名。
加固对象 操作系统 加固项目 说明
微软操作系统 NT 4.0 / W2K (workstation,server,professional,advanced server) 补丁 微软操作系统对新发现的漏洞修补是使用Service Pack及hotfix,另外,还需要安装C2级安全配置。[视机器配置而定]
文件系统 配置NTFS文件系统,NTFS可以支持更多更强大的的安全配置,设置需要特殊保护的目录和文件,设置不同目录和文件的权限,移动或删除特别的系统命令文件,增加入侵者操作的难度。[有20项左右配置]
帐号管理 帐号口令是从网络访问NT/2K系统的基本认证方式,很多系统被入侵都是因为帐号管理不善,设置超级用户密码强度,密码的缺省配置策略(例如:密码长度,更换时间,帐号所在组,帐号可访问资源,帐号锁定等多方面),GUEST帐号以及加强的密码管理(SYSKEY)等。[有10项左右配置]
网络及服务 网络和服务是互联网上用户与此服务器接口的部分,网络协议的配置不当,服务进程设置不当,都可能为入侵系统打开方便之门。合理地配置网络及服务将能阻挡80%的普通入侵[视机器配置而定]
注册表 微软操作系统缺省的安装是为了能兼容各种运行环境,因此很多权限设置都很宽,这不符合"最小权限"的基本原则,我们需要根据不同的环境,备份注册表,再人为地更改注册表内容,配置最小权限的稳定运行的系统。[有40项以上配置]
共享 共享是向网络上的用户开放对本机的资源访问权限,不合理的配置以及系统的缺省共享配置,都可能造成远程用户对系统的文件,打印机等资源的非法访问和操作。我们需要删除不必要的共享,合理配置共享的访问控制列表。[视机器配置而定]
应用软件 我们建议安装最小的软件包,不安装不必要的应用软件。但是很多情况应用软件提供不可缺少的服务,这时我们就必须安全地配置它们。[视机器配置而定]
审计,日志 做好系统的审计和日志工作,对于事后取证追查,帮助发现问题,都能提供很多必要信息[视机器配置而定]
最后工作:重新制作新的系统紧急恢复盘(ERD),建议用户做系统完全备份,并对关键部份做数字签名。
加固对象 操作系统 加固项目 说明
网络设备 交换机,路由器,防火墙 综合加固项目 检查及加固项目会根据不同厂商的设备而不同,具体内容在加固前将会根据评估的实际情况而定,主要包括:
- 制订或调整完善网络设备安全策略
- 配置登录地址限制
- 配置登录用户身份鉴别
- 配置特权用户权限分离
- 消除共享用户
- 配置口令复杂度与更换要求
- 配置登录失败处理功能
- 配置远程管理采用SSH等加密方式
- 采购与配置网络设备双因素鉴别设备
- 用户拿到IOS升级包,在设备厂家工程师现场协助下进行IOS升级
- 关闭不必要的服务
- 关闭不使用的网络接口
- 给出重要协议、地址和端口访问控制配置原型
- SNMP,TFTP,NTP等服务配置
- 建议网络设备的配置文件离线备份,并由专人保管
- 定期进行网络设备用户和口令维护,进行口令强度管理
- 使用、访问权限进行严格限制
- 相应的日志检查,审计和归档安全管理策略

服务流程

  1. 系统评估

    对客户现有系统进行全面安全评估,了解系统安全现状与存在的问题。

  2. 制定加固方案

    根据评估结果,结合客户需求与行业标准,制定详细的安全加固方案。

  3. 实施加固

    按照加固方案,对网络设备、主机操作系统、应用系统和数据库系统进行安全加固操作。

  4. 测试验证

    对加固后的系统进行全面测试,确保系统功能正常且安全性得到有效提升。

  5. 交付与培训

    向客户交付加固后的系统,并为客户提供相关安全培训,使其能够有效维护系统安全。

服务方式

现场服务

安全专家到客户现场进行系统安全加固操作。

远程服务

通过安全的远程连接方式,为客户提供系统安全加固服务。

服务成果